Der Fragebogen ist nicht öffentlich, mir wurde er jetzt aber aus Kreisen von befragten Einrichtungen zugespielt. Es handelt sich um ein online auszufüllendes Formular, das grundsätzlich recht kompakt ist. Aus den Fragen lässt sich einiges darüber ablesen, wie ein gutes Verfahren zum Umgang mit Datenschutzverletzungen nach der Vorstellung der Aufsichten aussieht.
»Digitale Nachhaltigkeit« will Verantwortung ins Digitale bringen. Der Verein »Linux User im Bereich der Kirchen« (LUKi e. V.) will diese Form der Nachhaltigkeit stärken: »Digitale Ressourcen werden dann nachhaltig verwaltet, wenn ihr Nutzen für die Gesellschaft maximiert wird, sodass die digitalen Bedürfnisse gegenwärtiger und zukünftiger Generationen gleichermaßen erfüllt werden«, ist eine der Definitionen, die das Projekt des LUKI anwendet. Um digitale Nachhaltigkeit in Organisationen zu bringen, zertifiziert das Projekt Institutionen, die sich auf Grundsätze der Nachhaltigkeit verpflichten, zuletzt das Katholisch-Soziale Institut in Siegburg.
Das Projekt wird koordiniert von Jonathan Berschauer. Der gebürtige Tübinger ist Vikar im Erzbistum Paderborn und hat sich im Rahmen seines Theologiestudiums mit freier Software im Kontext der christlichen Gesellschaftslehre auseinandergesetzt. Im Interview erklärt er, was digitale Nachhaltigkeit ist – und was man selbst tun kann, um digital nachhaltiger zu handeln.
Eines der großen Rätsel des kirchlichen Datenschutzes bleibt die Rechtsgrundlage des »kirchlichen Interesses«. Seit hier vor drei Jahren erstmals versucht wurde, das kirchliche Interesse handhabbar zu machen, ist einiges passiert: zumindest im katholischen Bereich Rechtsprechung, dazu kommen Positionen von kirchlichen Aufsichten.
Doch nicht nur das kirchliche Interesse stellt eine Besonderheit im kirchlichen Datenschutz dar: Generell sind die drei Interessens-Rechtsgrundlagen (lebenswichtige, berechtigte und kirchliche Interessen) hochgradig praxisrelevant und dabei in der Anwendung nicht immer klar. Daher soll nun nach drei Jahren versucht werden, eine neue Positionsbestimmung vorzunehmen.
Der erste Donnerstag im Mai ist Welt-Passwort-Tag. Der Gedenktag wurde 2013 durch den Chip-Hersteller Intel ins Leben gerufen. Anders als der Ändere-dein-Passwort-Tag am 1. Februar mit seiner unsinnigen und gefährlichen Botschaft geht es heute erst einmal nur neutral um Passwort-Sicherheit.
Datensicherheit ist auch im kirchlichen Datenschutz wichtig. Das kirchliche Datenschutzrecht überlässt die konkrete Ausgestaltung von technischen und organisatorischen Maßnahmen aber weitgehend den jeweiligen Verantwortlichen. Nur wenige Normen beziehen sich explizit auf Passwörter – und die sind leider nicht immer gelungen.
Zur digitalen Kirche gehört auch digitale Seelsorge. Und die ist nicht möglich, ohne personenbezogene Daten zu verarbeiten. Und auch bei nicht-digitaler Seelsorge stellt sich die Frage, wie Daten darüber gesichert werden müssen.
Eine eigene Kategorie »Seelsorgedaten« kennen weder das KDG noch das DSG-EKD. Da Daten über Seelsorge aber Auskunft über religiöse Überzeugungen geben, gehören sie zu den besonderen Kategorien. Ihre Verarbeitung ist damit an die erhöhten Bedingungen von § 11 KDG oder § 13 DSG-EKD geknüpft. Doch es gibt auch spezielle Regelungen
Wer Betroffenenrechte wahrnimmt, darf deshalb nicht benachteiligt werden. Trotzdem mag es Fälle geben, in denen man sich gerade im Beschäftigungsverhältnis nicht selbst bei der Datenschutzaufsicht beschweren kann. Da liegt es nahe, bei der Mitarbeitervertretung um Hilfe zu bitten. Oder es gibt allgemeine Datenschutzmängel, die einzelne Betroffene nicht als Beschwerde einreichen können. Damit stellt sich die Frage: Darf sich eine MAV bei der Datenschutzaufsicht beschweren?
Die einfache Antwort ist: Beschweren kann man sich immer. Nur ist eine Beschwerde noch lange keine Beschwerde im datenschutzrechtlichen Sinn. Ein Blick in die kirchlichen Datenschutzgesetze zeigt, welche Optionen MAVen und (nicht nur) Beschäftigte haben.
Auch nach der Reform der katholischen Grundordnung des kirchlichen Dienstes bleibt der Kirchenaustritt von Katholik*innen ein Kündigungsgrund. Ob das rechtens ist, entscheidet wohl bald der EuGH. Mindestens bis dahin stellt sich die Frage, wie kirchliche Arbeitgeber überhaupt vom Kirchenaustritt erfahren – und ob sie ihr Wissen verwenden dürfen.
Vorhanden sind die Daten zur Kirchenmitgliedschaft in jedem Unternehmen: In der Lohnbuchhaltung liegen die vom Finanzamt übermittelten Daten zur Kirchensteuer vor. In einem Gastbeitrag befasst sich der Leiter der KDSA Ost Matthias Ullrich damit, ob diese Daten in kirchlichen Arbeitsverhältnissen dazu genutzt werden dürfen, um Kirchenaustritte arbeitsrechtlich zu sanktionieren.
Auf dem Papier sieht gemeinsame Verantwortlichkeit sehr einfach aus: »Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche«, heißt es in Art. 26 DSGVO, die entsprechenden Normen im KDG und im DSG-EKD sind fast gleichlautend. Nur: Was passiert, wenn die gemeinsamen Verantwortlichen unterschiedlichen Gesetzen unterliegen, also etwa DSGVO und KDG oder KDG und DSG-EKD?
In der aktuellen Ausgabe des Datenschutz-Berater habe ich mich mit dieser Frage beschäftigt: »Verschiedene Gesetze, gemeinsame Verantwortlichkeit – eine ungeklärte Frage im kirchlichen Datenschutz«. Vieles muss dabei vage bleiben, solange Aufsichten und Gerichte sich dazu nicht äußern. Aber immerhin habe ich Strategien entworfen, wie man damit umgehen kann. Hier veröffentliche ich das Fazit und eine Synopse, den vollständigen Artikel gibt es im Heft.
Wer im eigenen Kommunikations-Mix eine Facebook-Fanseite hat, muss jederzeit damit rechnen, dass bald keine Facebook-Fanseite mehr im Mix ist: Einhellig gehen die Datenschutzaufsichten davon aus, dass Fanpages nicht rechtskonform zu betreiben sind. Der Bundesdatenschutzbeauftragte und die sächsische Landesdatenschutzbeauftragte haben Bescheide gegen die Betreiber der Fanpages der Bundesregierung und der sächsischen Landesregierung erlassen, beide Regierungen haben geklagt – und am Ende könnten Musterurteile stehen, auf deren Grundlage die Datenschutzaufsichten durchgreifen.
Die Musterverfahren können sich über Jahre hinziehen. Bis dahin ist die Rechtswidrigkeit in der Schwebe. Doch schon vorher kann jederzeit das Aus kommen: Auch wenn sich die Aufsichten – kirchliche wie staatliche – zurückhalten und nicht initiativ tätig werden. Auf eine Beschwerde hin müssen sie tätig werden – und dann droht eine »Untersagung der Verarbeitung«. Vulgo: Die Anweisung, abzuschalten. Für diesen Fall sollte man vorsorgen, sich eine Facbeook-Exit-Option und einen Plan B für die Kommunikation überlegen. Der große Vorteil von diesen Strategien: Nicht nur für den Fall der Fälle geht man auf Nummer sicher. Die Maßnahmen machen schon jetzt die eigene Social-Strategie besser und stärker.
(Und auch wenn Facebook-Fanpages im Fokus der Aufmerksamkeit stehen: Ex-Twitter, Instagram, WhatsApp, TikTok und viele weitere Dienste können bei einer Beschwerde auch ganz schnell aus dem Mix herausgekegelt werden.)
Sowohl das KDG als auch das DSG-EKD haben in ihrem Kapitel zu Vorschriften für besondere Verarbeitungssituationen eigene Normen für die Verarbeitung personenbezogener Daten in Beschäftigungsverhältnissen. § 49 DSG-EKD und § 53 KDG sind sichtlich § 26 BDSG nachgebildet – allerdings mit einigen Unterschieden.
Die verschiedenen Gesetzgeber haben dabei sehr unterschiedliche Strategien verfolgt, wie stark und wo kirchliche Besonderheiten berücksichtigt werden. Die kirchlichen Regeln haben zwar jeweils ihre Lücken und Probleme – insgesamt dürften sie aber zukunftssicherer sein als ihr BDSG-Pendant.